Добавление VPN к брандмауэру UFW

Question 1

Я испытываю затруднения на работе в соединении с работой VPN, в то время как Брандмауэр (UFW) активен. Когда я отключаю его "sudo ufw, отключают", нет никаких проблем.

Когда это идет, при попытке соединиться я получаю следующее

Apr 14 09:57:59 gaj-Lenovo-Z51-70 kernel: [ 2105.983679] [UFW BLOCK] IN=wlan0 OUT= MAC=b4:6d:83:e4:ce:8d:00:22:19:6b:e0:22:08:00 SRC=161.53.97.58 DST=10.111.100.55 LEN=89 TOS=0x00 PREC=0x00 TTL=121 ID=13425 PROTO=47 
Apr 14 09:57:59 gaj-Lenovo-Z51-70 kernel: [ 2105.996395] [UFW BLOCK] IN=wlan0 OUT= MAC=b4:6d:83:e4:ce:8d:00:22:19:6b:e0:22:08:00 SRC=161.53.97.58 DST=10.111.100.55 LEN=60 TOS=0x00 PREC=0x00 TTL=121 ID=13426 PROTO=47 
Apr 14 09:58:02 gaj-Lenovo-Z51-70 kernel: [ 2109.042945] [UFW BLOCK] IN=wlan0 OUT= MAC=b4:6d:83:e4:ce:8d:00:22:19:6b:e0:22:08:00 SRC=161.53.97.58 DST=10.111.100.55 LEN=60 TOS=0x00 PREC=0x00 TTL=121 ID=13427 PROTO=47 
Apr 14 09:58:03 gaj-Lenovo-Z51-70 kernel: [ 2110.040506] [UFW BLOCK] IN=wlan0 OUT= MAC=b4:6d:83:e4:ce:8d:00:22:19:6b:e0:22:08:00 SRC=161.53.97.58 DST=10.111.100.55 LEN=89 TOS=0x00 PREC=0x00 TTL=121 ID=13428 PROTO=47 
Apr 14 09:58:05 gaj-Lenovo-Z51-70 kernel: [ 2112.061598] [UFW BLOCK] IN=wlan0 OUT= MAC=b4:6d:83:e4:ce:8d:00:22:19:6b:e0:22:08:00 SRC=161.53.97.58 DST=10.111.100.55 LEN=60 TOS=0x00 PREC=0x00 TTL=121 ID=13429 PROTO=47 
Apr 14 09:58:07 gaj-Lenovo-Z51-70 kernel: [ 2113.994401] [UFW BLOCK] IN=wlan0 OUT= MAC=b4:6d:83:e4:ce:8d:00:22:19:6b:e0:22:08:00 SRC=161.53.97.58 DST=10.111.100.55 LEN=89 TOS=0x00 PREC=0x00 TTL=121 ID=13430 PROTO=47 
Apr 14 09:58:08 gaj-Lenovo-Z51-70 kernel: [ 2115.012322] [UFW BLOCK] IN=wlan0 OUT= MAC=b4:6d:83:e4:ce:8d:00:22:19:6b:e0:22:08:00 SRC=161.53.97.58 DST=10.111.100.55 LEN=60 TOS=0x00 PREC=0x00 TTL=121 ID=13431 PROTO=47 
Apr 14 09:58:11 gaj-Lenovo-Z51-70 kernel: [ 2117.994069] [UFW BLOCK] IN=wlan0 OUT= MAC=b4:6d:83:e4:ce:8d:00:22:19:6b:e0:22:08:00 SRC=161.53.97.58 DST=10.111.100.55 LEN=89 TOS=0x00 PREC=0x00 TTL=121 ID=13432 PROTO=47 
Apr 14 09:58:11 gaj-Lenovo-Z51-70 kernel: [ 2118.017850] [UFW BLOCK] IN=wlan0 OUT= MAC=b4:6d:83:e4:ce:8d:00:22:19:6b:e0:22:08:00 SRC=161.53.97.58 DST=10.111.100.55 LEN=60 TOS=0x00 PREC=0x00 TTL=121 ID=13433 PROTO=47 
Apr 14 09:58:15 gaj-Lenovo-Z51-70 kernel: [ 2122.002641] [UFW BLOCK] IN=wlan0 OUT= MAC=b4:6d:83:e4:ce:8d:00:22:19:6b:e0:22:08:00 SRC=161.53.97.58 DST=10.111.100.55 LEN=89 TOS=0x00 PREC=0x00 TTL=121 ID=13435 PROTO=47 
Apr 14 09:58:17 gaj-Lenovo-Z51-70 pppd[11718]: LCP: timeout sending Config-Requests
Apr 14 09:58:17 gaj-Lenovo-Z51-70 pppd[11718]: Connection terminated.
Apr 14 09:58:17 gaj-Lenovo-Z51-70 NetworkManager[1620]: <warn> VPN plugin failed: 1
Apr 14 09:58:17 gaj-Lenovo-Z51-70 NetworkManager[1620]:    SCPlugin-Ifupdown: devices removed (path: /sys/devices/virtual/net/ppp0, iface: ppp0)
Apr 14 09:58:17 gaj-Lenovo-Z51-70 pppd[11718]: Modem hangup
Apr 14 09:58:17 gaj-Lenovo-Z51-70 pptp[11722]: nm-pptp-service-11714 warn[decaps_hdlc:pptp_gre.c:204]: short read (-1): Input/output error
Apr 14 09:58:17 gaj-Lenovo-Z51-70 pptp[11722]: nm-pptp-service-11714 warn[decaps_hdlc:pptp_gre.c:216]: pppd may have shutdown, see pppd log
Apr 14 09:58:17 gaj-Lenovo-Z51-70 pptp[11731]: nm-pptp-service-11714 log[callmgr_main:pptp_callmgr.c:234]: Closing connection (unhandled)
Apr 14 09:58:17 gaj-Lenovo-Z51-70 pptp[11731]: nm-pptp-service-11714 log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 12 'Call-Clear-Request'
Apr 14 09:58:17 gaj-Lenovo-Z51-70 pptp[11731]: nm-pptp-service-11714 log[call_callback:pptp_callmgr.c:79]: Closing connection (call state)
Apr 14 09:58:17 gaj-Lenovo-Z51-70 pppd[11718]: Exit.
Apr 14 09:58:17 gaj-Lenovo-Z51-70 NetworkManager[1620]: <warn> VPN plugin failed: 1
Apr 14 09:58:17 gaj-Lenovo-Z51-70 NetworkManager[1620]: <warn> VPN plugin failed: 1
Apr 14 09:58:17 gaj-Lenovo-Z51-70 NetworkManager[1620]: <info> VPN plugin state changed: stopped (6)
Apr 14 09:58:17 gaj-Lenovo-Z51-70 NetworkManager[1620]: <info> VPN plugin state change reason: 0
Apr 14 09:58:17 gaj-Lenovo-Z51-70 NetworkManager[1620]: <info> Policy set 'eduroam' (wlan0) as default for IPv4 routing and DNS.
Apr 14 09:58:17 gaj-Lenovo-Z51-70 NetworkManager[1620]: <warn> error disconnecting VPN: Could not process the request because no VPN connection was active.
Apr 14 09:58:22 gaj-Lenovo-Z51-70 NetworkManager[1620]: <info> VPN service 'pptp' disappeared
Apr 14 09:58:24 gaj-Lenovo-Z51-70 kernel: [ 2130.359917] [UFW BLOCK] IN=wlan0 OUT= MAC=b4:6d:83:e4:ce:8d:00:22:19:6b:e0:22:08:00 SRC=198.252.206.25 DST=10.111.100.55 LEN=110 TOS=0x00 PREC=0x00 TTL=48 ID=12127 DF PROTO=TCP SPT=443 DPT=38605 WINDOW=37 RES=0x00 ACK PSH URGP=0 
Apr 14 09:58:24 gaj-Lenovo-Z51-70 kernel: [ 2130.792401] [UFW BLOCK] IN=wlan0 OUT= MAC=b4:6d:83:e4:ce:8d:00:22:19:6b:e0:22:08:00 SRC=198.252.206.25 DST=10.111.100.55 LEN=110 TOS=0x00 PREC=0x00 TTL=48 ID=12128 DF PROTO=TCP SPT=443 DPT=38605 WINDOW=37 RES=0x00 ACK PSH URGP=0 
Apr 14 09:58:24 gaj-Lenovo-Z51-70 kernel: [ 2131.268906] [UFW BLOCK] IN=wlan0 OUT= MAC=b4:6d:83:e4:ce:8d:00:22:19:6b:e0:22:08:00 SRC=198.252.206.25 DST=10.111.100.55 LEN=110 TOS=0x00 PREC=0x00 TTL=48 ID=12129 DF PROTO=TCP SPT=443 DPT=38605 WINDOW=37 RES=0x00 ACK PSH URGP=0 
Apr 14 09:58:25 gaj-Lenovo-Z51-70 kernel: [ 2132.221763] [UFW BLOCK] IN=wlan0 OUT= MAC=b4:6d:83:e4:ce:8d:00:22:19:6b:e0:22:08:00 SRC=198.252.206.25 DST=10.111.100.55 LEN=110 TOS=0x00 PREC=0x00 TTL=48 ID=12130 DF PROTO=TCP SPT=443 DPT=38605 WINDOW=37 RES=0x00 ACK PSH URGP=0 
Apr 14 09:58:27 gaj-Lenovo-Z51-70 kernel: [ 2134.125750] [UFW BLOCK] IN=wlan0 OUT= MAC=b4:6d:83:e4:ce:8d:00:22:19:6b:e0:22:08:00 SRC=198.252.206.25 DST=10.111.100.55 LEN=110 TOS=0x00 PREC=0x00 TTL=48 ID=12131 DF PROTO=TCP SPT=443 DPT=38605 WINDOW=37 RES=0x00 ACK PSH URGP=0 
Apr 14 09:58:31 gaj-Lenovo-Z51-70 kernel: [ 2137.937259] [UFW BLOCK] IN=wlan0 OUT= MAC=b4:6d:83:e4:ce:8d:00:22:19:6b:e0:22:08:00 SRC=198.252.206.25 DST=10.111.100.55 LEN=110 TOS=0x00 PREC=0x00 TTL=48 ID=12132 DF PROTO=TCP SPT=443 DPT=38605 WINDOW=37 RES=0x00 ACK PSH URGP=0

Как я могу добавить исключение?

Миллион благодарностей.

Question 2

Пользователь VPN PPTP port 47 иначе GRE. Чтобы позволить это транспортное редактирование /etc/ufw/before.rules и добавить в конце файла

sudo nano /etc/ufw/before.rules

, это

# gre
-A ufw-before-input -p 47 -j ACCEPT
-A ufw-before-output -p 47 -j ACCEPT

Затем отключает, включает ufw

sudo ufw disable
sudo ufw enable

РЕДАКТИРОВАНИЕ 1

, Правила должны помещенный в /etc/ufw/before.rules перед сегментом # drop INVALID packets ...

с другой стороны

sudo ufw disable
sudo ufw enable

Question 3

Question 4

У меня есть та же проблема как Mookey, но я могу подтвердить, что решение 2707974 работает на меня!

Позволяют нам видеть это шаг за шагом.

, Если установили Gufw на incomming:deny и outgoing:allow с вхождением в систему. Затем, если я включаю VPN, первый контакт с моим поставщиком VPN обычно позволяется без любых правил. Когда поставщик VPN перезванивает, его вызов заблокирован.

[БЛОК UFW] IN=wlan0 = MAC=49:........:10 DST=xxx.xxx.xxx.xxx LEN=55 TOS=0x00 PREC=0x00 TTL=49 ID=33716 PROTO=47 SRC=yyy.yyy.yyy.yyy

x = я, y = мой vpn поставщик.

Это заблокировано комбинацией причин, входящего IP и протокола 47.

Теперь, когда выключают Gufw снова и запускают vpn. netstat -nautp видит:

tcp 0 0 xxx.xxx.xxx.xxx:50798 yyy.yyy.yyy.yyy:1723 УСТАНОВЛЕННЫЙ -

РЕДАКТИРОВАНИЕ 1 из 2707974 корректен, но и должен быть вставлен в точном то место. Это заботилось бы о позволяемом протоколе 47. После этого можно добавить правило позволить входящее соединение vpn поставщика. Можно использовать: sudo ufw allow yyy.yyy.yyy.yyy и это работает. Можно даже включать порты (когда Вы уверены, что они не выбраны случайные)

sudo insert 1 allow from yyy.yyy.yyy.yyy port 1723 to xxx.xxx.xxx.xxx port 50798

, Который работает также. Вы могли бы думать, что поселены теперь, но там одна проблема безопасности. Правило протокола 47 обрабатывается намного ранее, чем позволить IP правило. Как только существует входящий пакет протокола 47, он позволяется. Нет никакого отклонения, если IP-адрес не соответствует.

Вы видите случай при удалении IP правила из ufw. sudo ufw delete 1 (не забывают отключать/разрешать ufw снова) VPN будет все еще работать.

я очень уверен, что Вы не хотите каждый пакет каждого хоста, входя в Вашу систему только потому, что это имеет протокол GRE. Более безопасный должен включать IP Вашего поставщика VPN, таким образом, он - единственный.

РЕДАКТИРОВАНИЕ Изменения 1 в:

-A ufw-before-input -p 47 -s <your vpn provider> -j ACCEPT
-A ufw-before-output -p 47 -s <your vpn provider> -j ACCEPT

Это работает и безопасно. Можно проверить это Ваш сам путем изменения IP выше на неправильный IP, и vpn прекращает работать. Правило Gufw больше не нужно, хотя это было, каково мое содержание было. Я ценил бы рабочее правило Gufw намного больше.

Hope это помогло Вам.Удачи!

Question 5

Проверьте свой Iptables, возможно, существуют некоторые правила что также блок Ваше соединение VPN.

iptables -L

ACCEPT соединения VPN для INPUT также к OUTPUT в Iptables.

iptables -A INPUT -p tcp --dport 47 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 47 -j ACCEPT

, Если соединение VPN работает, то сохраните правила

iptables-save

2707974 · Answer 1 · 22 April 2016 в 09:39